Вышла новая версия Clamav 0.70

быть ли качественному бесплатному антивирусу на руси?

он уже давно тут

ОбнОвиться!

Ну и чем он замечателен? Тем, что на старте загружает весь вирусняк в
память и отжирает кучу памяти от системы? Тем, что дырявый неа сквозь
и падает от малейшего чиха? Тем, что про безопасность его авторы даже
не слышали никогда?

А что в Линуксе уже есть вирусы? :)

Все же кричат что она жуть какая вирусоустойчивая?!

>Все же кричат что она жуть какая вирусоустойчивая?!

Не тупи, линуксу он какраз не нужен, зато нужен для почты, что бы
вам виндузятникам жилось проще...

>Ну и чем он замечателен? Тем, что на старте загружает весь вирусняк в
>память и отжирает кучу памяти от системы? Тем, что дырявый неа сквозь
>и падает от малейшего чиха? Тем, что про безопасность его авторы даже
>не слышали никогда?

Да уж, что то я не замечал его жручести, лучше посмотри на коммерческие
варианты, вот будет песня, какраз большенство будет удовлетворять твоему
списку... Clamav конечно не без греха, если вы такой параноик, то не стоит
шарить его по сетке, пусть локально живет, к тому же, я не помню, что бы
он у меня падал, было дело, когда он через милтер с сендмейлом общался,
только я отказался от милтера и использую патч для сендмейла, который
работает великолепно и довольно на приличной нагрузке общаясь на
прямую с clamd...

>быть ли качественному бесплатному антивирусу на руси?

Пока Clamav не пропустил ни одного серьезного вируса, так что он меня
вполне устраивает...

> лучше посмотри на коммерческие варианты

С чего это вдруг все должны равняться на коммерческий глюкодром?
Я знаю, что там ещё хуже дела обстоят. А про память я не спроста
упомянул. Слишком много почтовиков работает на очень старом железе.
Не знаю как у вас, а у меня он отжирает 12 мег на старте. А под моим
присмотром есть почтовоые сервачки у которых всего 16 мег памяти.
Почему бы не запихнуть вирусняк в dbm-файл?

Когла он пропустит серьёзный вирус, ты уже не будешь в админах ;)

Ну полагаться только на один антивирус - у меня их 3 стоит (clamav+f-prot+bitdefender) так что если один не поймает то другие подберут - зы а в виндовсе можно так?

>Когла он пропустит серьёзный вирус, ты уже не будешь в админах ;)

А я и так не админ....

>Не знаю как у вас, а у меня он отжирает 12 мег на старте.

Есть такое дело, но извини, память сейчас стоит копейки...

можно ссылку на патч?
кстати клам-мильтер вроде ж с демоном и работает

У меня Clamav стоит в связки с postfix`ом ...
  начиная с версии 0.64 ...

Проблемм не замечаенно ... вирусы ловит на ура ...!!!
 ни одного пока не пропустил .. а если пропустит, то в сети на локальных тачках стоят drweb`ы ... и я сразу об этом узнаю ... ;))

 уже 2-4 месяца и ни одного не пропустил .. уж и эпидемии пережили с ним 

>можно ссылку на патч?
Легко, для 8.12.хх
http://mcmcc.bat.ru/mypatches/check_virus+clamav-1.23-8.12.10.diff
Для 8.11.хх и более подробно про патч почитай тут:
http://www.linux.org.ru/view-message.jsp?msgid=526755

>кстати клам-мильтер вроде ж с демоном и работает

Работает то он работает, вот только при большой нагрузке падает, поэтому,
птач для сендмейла, в начале пропускает письмо в очередь, а затем делает
проверку, а клам-милтер сразу делает проверку до постановки в очередь,
если идет, например, атака, то клам-милтер загибается, вернее загибается
clamd от постоянного дергания, видимо не держит он такой нагрузки,
поэтому я и отказался от такого варианта...

гы. ничто не мешает пропустить и платным новый вирус. был прецендент. ну неуспели они выпустить обновление. зы. прежде чем постить о том в чем не разбираешься, дважды подумай.

chl

>У меня Clamav стоит в связки с postfix`ом ...

Как ты его к opostfix'у прикручивал. Поделись рецептом плиз.

пропускает clamav вирусы, пропускает.
свежий пример, вместо
Scanners detecting a virus: Clam Antivirus-clamd, NAI McAfee AntiVirus (uvscan)

опять отчет только от McAfee:
A virus (Exploit-URLSpoof.gen) was found.
Scanner detecting a virus: NAI McAfee AntiVirus (uvscan)
в базе McAfee с 12/24/2003. Вот и думай...

>Как ты его к opostfix'у прикручивал. Поделись рецептом плиз.
не знаю как он, а я через amavisd-new

Exploit-URLSpoof.gen это вообще не вирус, кламав конечно пропускает,
ибо он безобидный, если принять нужные меры для ОЕ, он больше на спам похож, чем на вирус, поэтому не критичен...

P.S. Совсем наглые Exploit-URLSpoof клам все же ловит...

ты бы сначала его использовал а потом говорил а не наоборот...

тем более никто не мешает запостить данный эксплоит.
clamav живет благодаря community.

Не поверишь, но я туда постю...

ну блин - я собственноручно постил им сэмпл Linux.Osf модификации, которую все остальные вирусоловы хапали "на ура"

а вирус довольно серьезный для любителей работать под рутом

падает он реденько ) Из серьезных проблем назову только непонимание формата rar3 (ну используют они какуюто древнюю библиотеку на C), небольшое вытекание памяти изза этой библиотеки, и плохой разборщик mime. У меня вирусы часто ловятся вторым эшелоном (drweb) в некоторых отлупах-вложениях, отдельные извращенцы в отлупах аттачат сообщения полностью с вирусом )

>падает он реденько ) Из серьезных проблем назову только непонимание
>формата rar3 (ну используют они какуюто древнюю библиотеку на C),
>небольшое вытекание памяти изза этой библиотеки, и плохой разборщик
>mime. У меня вирусы часто ловятся вторым эшелоном (drweb) в некоторых
>отлупах-вложениях, отдельные извращенцы в отлупах аттачат сообщения
>полностью с вирусом )

С милтером он падает, причина известна, насчет плохой разборки mime,
в этом тоже виноват милтеровский плагин, я как поставил патч на
сендмаил, все сразу стало ловить, теперь второму эшелону ничего не
доходит, насчет rar3, это да, но в 0.7 поправили, теперь не падает,
но и не проверяет, чесно говоря, архив это не екзешник, поэтому юзер
вначале должен его расскрыть, а у многих виндузятников стоит антивирус,
поэтому архивные файлы не так страшны, зато 0.7 стал четко ловить
макросвирусы, что довольно неплохо...

P.S. Действительно, некоторые уроды делают отлуп вместе приаттаченным
вирусом, клам-милтер почему-то такие сообщения пропускал...

>P.S. Действительно, некоторые уроды делают отлуп вместе
>приаттаченным вирусом, клам-милтер почему-то такие сообщения
> пропускал...
расширяя, я бы сказал, что некоторые уроды присылают отлуп отправителю из хидеров :\
Почему-то чаще всего даже без самих хидеров.
Почему-то чаще всего это drweb и avp.
Пользователи пугаются :)

А для Squid патч какой-нибудь для работы с Clamd существует?

Squid+clamav

http://viralator.sourceforge.net/

Судя по документации к Clamav можно прикрутить внешний распаковщик для rar3, arj, ace и прочих архивов http://clamav.net/doc/0.70/html/node21.html

а ты сам пробовал прикручивать то ? прикрутить можно только к clamscan, а демон работает через libclamav, так вот она нихрена не умеет. Я надеюсь тут все понимают что почтовый сервер под нагрузкой не может себе позволить запускать немаленькую программу на каждое письмо ?

Помнится ктото орал что скоро уже прикрутят reformime, так и не прикрутили. Кривенькие drweb-овские отлупы также не проверяются. Проверял на 0.70-1 в debian unstable.

резюме: ничего принципиально нового, плохая, негодная новость.

это я не тебе.
я тоже постил туда примеры. так же с моей подачи девелопер подчитстил код мильтера...
а почему бы тебе не кинуть свой патч в список рассылки?

Nickolay

вместо разгибания пальцев лучше бы запостили в clamav-users-maillist пару примеров с тем что не отлавливется. девелопер мильтера весьма оперативно вносит исправления.

>Кривенькие drweb-овские отлупы также не проверяются.

Через милтер нет, а вот через патч к сендмейлу все ловится....

А если я этот ваш милтер не использую ? Ну совсем не использую, cgp у меня, крайне плохо что сам clamd не умеет парсить mime.

>я тоже постил туда примеры. так же с моей подачи девелопер подчитстил >код мильтера...

Новый милтер я не пробовал, потому как сразу после трахания решил
отказаться от него вовсе... Сейчас то он хоть отлупы стал ловить?

>а почему бы тебе не кинуть свой патч в список рассылки?

Да как-то не думал об этом, потом думаю, что мало кто захочет с милтера
слезть....

>А если я этот ваш милтер не использую ? Ну совсем не использую, cgp у
>меня, крайне плохо что сам clamd не умеет парсить mime.

Хмм... А какже тогда он у меня парсит? Что я не так сделал? Тоже не
милтер...

кстати,это чудо на исходящщую почту (SMTP) как то прикрутить можно? а сделать,чтоб не слал письмо по поводу обнаружения вируса отправителю письма и постмастеру? а то задолбали уже ети "Вирус Интерцептед" письма...а в конфиг файле нифига не не нащёл...

>Судя по документации к Clamav можно прикрутить внешний распаковщик
>для rar3, arj, ace и прочих архивов

Можно, патчить придется кламовскую либу на тему вызова внешних
распаковщиков, либо демона, только предварительно научить его
делать uuedecode, и только для систем с низкой нагрузкой, если
нагрузка будет большая, то охренеет система все распаковывать,
проще не проверять архивы совсем, потому как сами они по себе
безопасны, пока кто-нибудь не откроет и не запустит внутренности,
но тут уже вина будет полностью на этом юзере, который пренебрег
правилом не открывать архивы от чужих и не проверенные локальным
антивирусом, или все, блин, на почту расчитывают? Даже презерватив
не дает гарантии, от неожиданной беременности...

McMMC ну так у тебя же и не cgp ? поди патч на sendmail и распаковывает все как надо. Я тестировал чистым clamscan карантин от drweb, все сплошь нестандартные аттачи.

Нет, сендмеил ничего не распаковывает, он скармливает все демону в
поточном режиме, ибо без хедера сообщения кламав не считает, что это
почта, пришлось исхитрится, формировать "From xxxx\n\n" в начале потока,
и только потом получать от демона ретурнкоды, если бы не эта особенность,
то гораздо проще было бы подсовывать ссылку на локальный файл. Может у
тебя кламав не настроен на проверку почтовых сообщений? Потому как у
меня ловятся вирусы даже с глубокой рекурсией, а у clamscan даже есть для
этого ключик, но если он у тебя не ловит всякие Exploit-URLSpoof, то это
нормально, потому как они вирусами не считаются, это обычный спам,
мож и едет крыша у какого-нибудь OE не фиксенного, но пока ничего
вредного он не сделал...

Странно, теперь мой дрвеб сам свой карантин не вкуривает. Разбираюсь. К слову я таки нашел в дикой природе вирус которые drweb не определяет: Trojan.Coced.240 в классификации clamav. Есть еще Worm.SomeFool.Q.2, но это из новенького, похоже. Проверка почты настроена ) я уже 60 вирусов разных насобирал.

Вообщем, народ, выложил новые патчи для sendmail, добавил возможность
работы с drweb, а также последовательность проверки, правда она жестко
вшита, в начале проверяет clamav, затем drweb и после kav(avp), если
их всех сразу указать в конфиге, если будет указан только один из этих
3х поддерживаемых, то только он и будет проверять почту.
Взять патчи можно тут:
для sendmail-8.11.6/7
http://mcmcc.bat.ru/mypatches/check_kav+clamav+drweb-1.23-8.11.7.diff
для sendmail-8.12.10/11
http://mcmcc.bat.ru/mypatches/check_kav+clamav+drweb-1.23-8.12.10.diff
Для активизации работы с drweb нужно в конфиге указать опцию
O Antivirus.Drweb=/var/drweb/run/drwebd.sock(или другой путь, где у вас
находится сокет drwebd'а)
Вот пример из m4 конфига сендмейла, где включена проверка на вирусы
с помощью clamav и drweb...

LOCAL_CONFIG
# Running check_virus
dnl O Antivirus.Daemon=/var/run/AvpCtl
O Antivirus.Drweb=/var/drweb/run/drwebd.sock
O Antivirus.Clamd=/var/run/clamav/clamd.sock
dnl O Antivirus.AvpCompatible=true
dnl O Antivirus.AlertToRecipients=.*
O Antivirus.PassInfectedMail=root
O Antivirus.PassSuspiciousMail=.*
O Antivirus.IgnoreCorruptedMail=.*

Вот кусок из тела сообщения, которое говорит об найденом вирусе

ANTIVIRUS SYSTEM FOUND VIRUSES

From:    Mail Delivery System <Mailer-Daemon@server1.geler.biz>
To:      MAILER-DAEMON@xxx.xxx.ru
Subject: Mail delivery failed: returning message to sender


------- Clam AV reports --------

./dfi3L8nuk00830 stream: OK

------- Dr.Web reports --------

[843] ./dfi3L8nuk00830 - archive MAIL
[843] >./dfi3L8nuk00830/rfc822.1 - archive MAIL
[843] >>./dfi3L8nuk00830/rfc822.1/html.1 infected with Exploit.URLSpoof

P.S. Как уже говорил ранее, clamav Exploit.URLSpoof за вирус не признает..